KillDisk擦除软件现新变种，拉美金融机构惨遭攻击

趋势科技报道称，KillDisk磁盘擦除恶意软件出现新变种（被称为TROJ_KILLDISK.IUB），且已对拉丁美洲的金融行业企业造成攻击。

正如之前的版本，KillDisk会蓄意删除文件，但是为了不让受害者发现他们感染的其实是磁盘擦除恶意软件（以往许多网络间谍活动中使用的恶意软件），KillDisk会附有勒索赎金信，从而试图让受害者误认为他们感染的是勒索软件。

KillDisk：从磁盘擦除器到假冒勒索软件

在信息安全行业，KillDisk是最臭名昭着的恶意软件家族之一。该恶意软件主要由俄罗斯网络间谍组织Telebots开发和使用。

该间谍组织还创造了：

攻击美国工业设备的Sandworm 恶意软件

攻击乌克兰电网的BlackEnergy恶意软件

以及2017年6月袭击许多公司的NotPetya勒索软件

KillDisk开发之初就是一款磁盘擦除恶意软件，部署在感染后期。这样一来，攻击者可以通过擦除磁盘和破坏取证证据来隐藏它们的踪迹。这也就是KillDisk在2015年12月和2016年12月针对乌克兰电网攻击事件中的主要用途，当时间谍组织Telebots在攻击中联合使用了KillDisk和BlackEnergy恶意软件。

到2016年底，KillDisk进行了“整容”，在针对乌克兰银行的攻击中将自己伪装成勒索软件。就在那不久，安全人员也发现一个Linux变种，用于攻击相同的目标。

新型KillDisk攻击

周一，趋势科技报告了新的KillDisk攻击。该公司发现了一个KillDisk新变种，不过和以往的攻击比，变化很小。

新版本KillDisk仍旧包含勒索信和擦盘功能。唯一改变的是攻击对象—— KillDisk部署在拉美金融公司的网络上，远离过去三年它所攻击的乌克兰机构。

目前，趋势科技并没说明背后的攻击者究竟是TeleBots间谍组织，还是为了欺骗取证调查者而模仿该攻击行为的其他罪犯。

同之前版本相比，有些许变化

但就像以前的攻击一样，研究人员也指出，KillDisk并不是入侵者部署的主要恶意软件。

研究人员表示：“这个KillDisk变种看起来像是被另一个进程/攻击者故意部署的。它的文件路径被硬编码到恶意软件中（c：\ windows \ dimens.exe），这意味着它与安装程序紧密结合，或者是更大的软件包的一部分。”

研究人员现在还没说明主要payload是什么。尽管如此，他们对KillDisk这个特殊变种的运行模式进行了详细的研究。

据研究人员介绍，KillDisk一旦部署到计算机上，便会将自己加载到内存中，将它的文件从磁盘上删除，并给自己重新命名。

然后它将用0x00字节覆盖每个存储设备上主引导记录（MBR）的前20个扇区。

之后，它将在每个固定和移动存储驱动器上，使用相同的0x00字节重写每个文件的前2800个字节。 唯一保留完整的文件是在以下目录（都是对操作系统至关重要的）中找到的文件和文件夹：

WINNT

Users

Windows

Program Files

Program Files (x86)

ProgramData

Recovery (case-sensitive check)

$Recycle.Bin

System Volume Information

old

PerfLogs

然后，KillDisk会启动一个15分钟的计时器，然后终止以下进程。 因为这些都是操作系统的关键进程，所以导致用户的机器要么蓝屏死机，要么在不提供用户选择的情况下强行重启。

客户端/服务器运行时子系统（csrss.exe）

Windows启动应用程序（wininit.exe）

Windows 登录应用程序（winlogon.exe）

本地安全权限子系统服务（lsass.exe）

一旦系统重新启动，用户除非修复损坏的MBR记录，否则不能使用他的电脑。当系统管理员进行调查时，最常见的情况是：他会发现勒索信，因而认为系统遭到勒索软件攻击；或者他将对之前的备份进行安装，甚至摧毁KillDisk感染的最后线索。

新型 KillDisk SHA256 hash:

正是由于企业急于恢复计算机，并在企业网络运行，因而磁盘擦除恶意软件（如KillDisk和Shamoo）增加了勒索软件组件。

趋势科技仍在调查这一新型KillDisk变种，同时要求各公司采取“深度防御”的方法，确保网关、终端、网络到服务器的安全范围。